IT Security

Kriminelle Hacker – Einloggen ist einfacher als das System zu hacken

07. Februar 2022, Avatar of Felix ZechFelix Zech

Aus aktuellem Anlass wollen wir hier erneut darauf hinweisen, dass digitale Sicherheit keine Option für Unternehmen ist, sondern ein absolutes Muss! Denn jetzt hat es mit der MediaMarktSaturn Retail Group auch eine Ikone des deutschen Einzelhandels erwischt – Kassensysteme mit Ransomware verschlüsselt. Nach Angaben des Spiegel verlangen die Erpresser 50 Mio. US-$ (das ist Stand am 9. November 2021).

Wie der Angriff genau abgelaufen ist, wissen wir nicht. Doch es dürfte – wie so oft – ein menschlicher Fehler gewesen sein, der den Kriminellen Tür und Tor geöffnet hat, denn mittlerweile benötigen fast alle Cyberattacken menschliche Interaktion. Das heißt, die Angreifer senden ihren potenziellen Opfern eine Word-, Excel- oder PDF-Datei oder ein Bild. In dieser Datei ist dann Schadsoftware eingebettet, die meist das Opfer selbst aktiviert. Dabei kommen besonders häufig Makros zum Einsatz. Diese öffnen dann die Tür zum PC des Opfers. Das ist dabei meist der erste Schritt. Die eigentliche Schadsoftware, immer häufiger Ransomware, wird erst in einem zweiten Schritt nachgeladen.

Der Grund dafür?

Ganz einfach: Die Hacker spionieren über die geheime Hintertür erstmal aus, was der Anwender oder die Anwenderin überhaupt für Rechte hat. Möglicherweise ist es ja jemand, der nahezu – unternehmenstechnisch betrachtet – keine Kompetenzen oder Rechte hat. Ransomware auf diesem einen PC auszuspielen ist aus Sicht der Angreifer einfach nur Zeitverschwendung. 

Bleiben wir mal in den Gedanken der Kriminellen: Aber vielleicht lässt sich dieser kompromittierte Account (auf den sich dann die Hacker auch einloggen können) ja dazu nutzen, sich in die E-Mail-Kommunikation mit anderen einzuklinken. Also, vielleicht könnte man ja über das Mitlesen von E-Mails einen Empfänger mit mehr Rechten im Unternehmen identifizieren, der sich als unfreiwilliger Multiplikator besser für kriminelle Machenschaften missbrauchen ließe?

Auf diese Weise können die Angreifer im Laufe der Zeit ein immer genaueres Bild von Personen und Kompetenzen im Unternehmen zeichnen und ihre Attacken sehr zielgerichtet „optimieren“. Diese eine Person wird dann möglicherweise im Laufe einiger Wochen oder gar Monate so manipuliert, dass sie zum Beispiel irgendwann eine gefälschte E-Mail mit Ransomware erhält, diese arglos öffnet und damit im gesamten Unternehmen aktiviert. 
 

Technische Sicherheitslücken und Schwachstellen

Allerdings – und das darf man auch nicht vergessen – sind Hacker auch immer an technischen Sicherheitslücken und Schwachstellen in Software und Konfigurationen interessiert. Dabei versuchen die Hacker verstärkt das Zeitfenster zu nutzen, das durch die Veröffentlichung der Sicherheitslücke und dem Schließen selbiger entsteht. Wichtig ist daher ein schnell und gut funktionierendes Patch Management, dass genau auch diese Herausforderung berücksichtigt. Aber dazu hatte ich mich  ja erst hier im Blog detailliert geäußert. 

Was bedeutet das für die IT-Teams und die SecOps?

Nun, gegen menschliche Fehler ist einfach niemand gefeit, aber sich einfach dem Schicksal ergeben ist auch keine Lösung. Wichtig ist vielmehr eine umfassende Sicherheitsstrategie im Unternehmen, die unter anderem:

  • Den Faktor ‚Mensch‘ berücksichtigt und die Anwendenden in ihrer jeweiligen Rolle immer wieder auf die Herausforderung „digitale Sicherheit“ hinweist – z.B. mit regelmäßigen Trainings oder auch eigenen Testmails, um die Mitarbeiter zu sensibilisieren
  • Die technischen Faktoren umfassend betrachtet, unter anderem mit
    • Installation moderner Cybersecurity-Lösungen wie Firewalls, Virenscanner, etc.
    • Aktives Monitoring aller Software-Lieferanten auf Sicherheitslücken und deren (Hot) Fixes – damit einhergehend ein umfassendes Asset Management
    • gutes, ausgeklügeltes Updatemanagement für wirklich alle Anwendungen und Systeme im Unternehmen
    • einem Rechte-Management, das den Mitarbeitenden nur gerade so viele Rechte wie nötig einräumt
    • leistungsfähige und sichere Verwaltung der Endpoints über alle Plattformen hinweg
    • sorgfältige Konfigurationen sämtlicher Anwendungen und Plattformen (ein unterschätzter Aspekt beispielsweise im Bereich der Webshops, siehe)
    • restriktiver Umgang mit Cloud Services (Stichwort Schatten-IT)
    • Tracking von Log-Ins der Mitarbeiter in den zugelassenen Cloud-Services wie Microsoft 365 (Uhrzeit und Geografie, denn ein Log-out um 18:00 Uhr mit einer IP-Adresse aus Deutschland und ein erneute Log-In aus Amerika oder Asien nur ein oder zwei Stunden später ist demselben Nutzer wohl eher unmöglich)
    • Berücksichtigung der Sicherheitsmaßnahmen von Partnern, Kunden und Lieferanten (Stichwort Sicherheit in der Lieferkette)
    • Physische Sicherheit und isolierte Back-ups nicht vergessen
       

Dabei sind zwei Aspekte von höchster Bedeutung:

Es darf kein Punkt ausgelassen werden. Denn auch hier gilt: Diese Kette ist nur so stark wie ihr schwächstes Glied. So mögen zwar fast alle der genannten Maßnahmen sorgfältig umgesetzt sein, liegt auch nur eine fehlerhafte Konfiguration vor oder ist auch nur ein IoT-Gerät nicht sicher, ist das gesamte System hochgradig gefährdet.

Der zweite Punkt betrifft die Mitarbeitenden und die Kommunikation zu Cybersecurity-Themen. Die Angestellten müssen zum einen verstehen, dass all die Maßnahmen dem Schutz des Unternehmens und damit auch der Sicherheit des eigenen Arbeitsplatzes dienen.

Und zum anderen muss klar erläutert werden, dass auch sie, die Mitarbeitenden, ein wichtiger Faktor der digitalen Sicherheit im Unternehmen sind und Kriminelle keineswegs nur via Technik angreifen, sondern das vermeintlich schwächste Glied (siehe oben) mit Tricks aller Art zur unfreiwilligen Mitarbeit – meist durch Neugier oder Unachtsamkeit – bewegen wollen. 
 

Fazit

Und nur wenn die Sicherheitsstrategie des Unternehmens beide Säulen – Mensch und Technik – als elementaren Bestandteil der Cybersecurity versteht und auch beide mit Leben, Qualität und Sorgfalt versieht, werden die Firmen in der Lage sein, die eigene Sicherheit nachhaltig zu erhöhen.

Mehr lesen?